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@ Systemarchitektur 

(57) Eine Systemarchitektur verwendet wenigstens zwei Pro- 
zessoren, die gemeinsam einen ProzeS steuern und standig 
ihre Daten mitetnander vergleichen. Auf etnem der beiden 
Prozessoren lauft ein Programmkompiex, der hinsichtlich 
der mogJichen Fehler uberpruft ist sowie ein nicht iiberpruf- 
ter Programmkompiex. Um eine Storung des uberpruften 
Programmkomplexes durch den nicht uberpruften auszu- 
schlieSen, sind die Peripheriemittel, die mit dem uberpruften 
Programmkompiex zusammenarbetten, mit Inhibiteingangen 
versehen und der geprufte Programmkompiex sperrt Ober 
die Inhibiteingange die fur ihn reservierten Peripheriemittei, 
ehe er die Regie an den nicht uberpruften Programmkom- 
piex abgibt. 
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Beschreibung 

In zunehmenden MaBe wird der Betrieb von Maschi- 
nen automatisiert, und zwar auch von Maschinen, die 
wegen der Vielzahl unabhangiger Achsen einen wesent- 5 
lichen Steuerungsaufwand haben. Diese Steuerungen 
miissen, um Gefahren fiir Menschen und Maschinen so- 
weit wie moglich auszuschlieBen, in einem sehr hohen 
Grade sicher sein, zumindest hinsichtlich solcher 
Steueranweisungen, deren fehlerhafte Betatigung fUr 10 
die Menschen oder die Maschinen katastrophale Folgen 
haben kann. 

In der Vergangenheit hat man sich dabei im wesentli- 
chen auf die Relaistechnik verlassen, in der Annahme, 
daB Reiais und Schiitze vergleichsweise sichere Steue- 15 
rungsmittel sind. Allerdings muBte auch bei dieser Tech- 
nik Redundanz und eine Art von Prufprogrammen vor- 
gesehen werden, durch die sich die Reiais hinsichtlich 
ihrer Funktion wechselseitig iiberwacht bzw. uberpriift 
haben. Der Aufwand an Reiais, selbst fiir vergleichswei- 20 
se einfache Steuerungen von beispielsweise Exzenter- 
pressen, war vom Platzbedarf her gesehen enorm. Kom- 
plexere sichere Steuerungen, die in der rage sind, Fehler 
zu erkennen und beim Erkennen des Fehlers die Anlage 
zur sicheren Seite hin stillzusetzen, sind in der Reiais- 25 
technik wegen des Platzbedarfes praktisch nicht zu be- 
herrschen. 

Man ging deswegen dazu uber, die Steuerungen an- 
statt mit elektromechanischen Bauteilen mit elektroni- 
schen Bauteilen aufzubauen, obwohl man sich bewuBt 30 
war, daB elektronische Bauelemente unter Umstanden 
gegenuber auBeren Einfliissen empfindlicher sind und 
kompliziertere Fehler auftreten konnen. Um diese 
Schwierigkeiten einigermaBen zu beherrschen, wurden 
die Steuerungen mehrkanalig ausgefiihrt, wobei sich die 35 
Kanale gegenseitig uberwacht haben. 

Mit noch weiter fortschreitender Automatisierung 
wurde der Obergang zu mikroprozessorgesteuerten 
Anlagen erforderlich, womit noch eine weitere Qualitat 
von Fehlern, namlich Software-Fehler mit hinzukom- 40 
men. 

Die Implementierung von Steuerungen mit Hilfe von 
Mikroprozessoren und Programmen macht aber nur 
dann Sinn, wenn es gleichzeitig dem Anwender ermog- 
licht wird, die Steuerungen zu erweitern und in die 45 
Steuerungen weitere Maschinen oder Maschinenbewe- 
gungen hineinzunehmen, die unter Umstanden auch 
nicht sicherheitsrelevant sind. Dabei darf keineswegs 
dieses nicht notwendigerweise sichere Funktionen steu- 
ernde Programmteil jenes Programmteil beeinflussen, 50 
das sichere Funktionen beaufsichtigt. Andernfalls konn- 
te es zu schwerwiegenden Storungen kommen, deren 
Ursachen praktisch nicht aufzufinden sind, weil sie unter 
Umstanden von der zeitlichen {Correlation bestimmter 
Eingangssignale abhangig sind. 55 

Zum Stand der Technik gehort es auBerdem, auf ei- 
nem Prozessor mehrere Programme zeitlich verschach- 
telt abiaufen zu lassen, wie dies von Zilker in dem Buch. 
"Praxis des Multitasking", Franzis'-Verlag, Miinchen, • 
1987, Seiten 11 bis 14 beschrieben ist. Dazu werden die eo 
einzelnen einander abwechselnden Programme so ge- 
schrieben, daB sie nach einer vorbestimmten Zeit, in der 
Regel gesteuert durch einen Interrupt, freiwillig den 
Prozessor, beispielsweise an einen Systemkern zuruck- 
geben, der daraufhin ein hinsichtlich seines Prozessor- 55 
verhaltens ahnliches Programm startet. 

Es ist ferner bekannt, uber sogenannte Inhibit-Ein- 
gange, Bauelemente oder Gruppen von Bauelementen 
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in einer Computersteuerung zu sperren, um zu verhin- 
dern, daB diese Bauelemente Informationen iiberneh- 
men, die ihnen beispielsweise uber eine Busleitung an- 
geboten werden und an sich fur andere Bauelemente 
bestimmt sind. Ein Beispiei fiir eine solche Schaltung ist 
von Williams in 'Troubleshooting on Microprocessor 
based Systems", Pergamon Press, 1984, Seite 9 bis 12 
beschrieben. 

Ausgehend hiervon ist es Aufgabe der Erfindung, eine 
Systemarchitektur zu schaffen, die es gestattet, auf ei- 
nem Prozessor sicherheitsuberpriifte und nicht sicher- 
heitsuberprufte Programme laufen zu lassen, ohne daB 
die Gefahr besteht, daB das nicht uberprufte Programm 
den kauf des gepruften Programms in unerwunschter 
Weise beeinflussen oder storen kann. 

Diese Aufgabe wird erfindungsgemaB durch die Sy- 
stemarchitektur mit den Merkmalen des Anspruches 1 
gelost. 

Aus Griinden des elektrischen Aufwandes und des 
Aufwandes an Bauteilen ist es sinnvoll, in ein und dem- 
selben Prozessor zwei verschiedene Programmkomple- 
xe abiaufen zu lassen, wobei immer eine Kontrolle dar- 
uber bestehen soli, wie die beiden Programmkomplexe 
miteinander in Wechselwirkung treten. Durch die Ver- 
wendung von Peripheriemitteln, die mit Inhibiteingan- 
gen ausgeriistet sind, kann sichergestellt werden, daB 
der zweite Programmkomplex an die Peripheriemittel 
keine Befehle aus zugeben vermag, von denen der erste 
Programmkomplex keine Kenntnis hat. Wenn beispiels- 
weise der erste Programmkomplex ein sicherer verifi- 
zierter Programmkomplex ist, schaltet er, bevor er den 
Prozessor oder Rechnerkern an den zweiten Pro- 
grammkomplex abgibt, die ihm zugeordneten und nur 
von ihm zu kommandierenden Peripheriemittel in einen 
Zustand, in dem sie keine Befehle an ihren Ein- und 
Ausgangen annehmen. Ein lesender Zugriff auf die Re- 
gister dieser Peripheriemittel kann dabei durchaus zu- 
lassig bleiben. Wenn nach dem Sperren dieser Periphe- 
riemittel der zweite Programmkomplex den Prozessor 
bzw. Rechnerkern erhalt, kann er dort im wesentlichen 
autonom laufen. Sollte infolge von Programmierfehlern 
oder sonstiger Fehler an den Daten der zweite Pro- 
grammkomplex in nicht konformer Weise versuchen, 
schreibend auf die Peripheriemittel des ersten {Comple- 
xes zugreifen, werden die gesperrten Peripheriemittel 
diese ihnen zugestellten Eingaben ignorieren und nicht 
ausfuhren. 

Der einzige Fehler, der dann noch auftreten konnte, 
bestunde darin, daB der zweite Programmkomplex das 
Inhibitsignal zurucknimmt, womit die betreffenden Peri- 
pheriemittel, die zu dem ersten Programmkomplex ge- 
horen, auf die Befehle des zweiten Programmkomplexes 
falschlicherweise horen wurden. 

Sobald jedoch der zweite Programmkomplex den 
Prozessor freigibt, entweder freiwillig, weil er an einer 
entsprechenden Programmstelle angelangt ist oder 
zwangsweise aufgrund eines von auBen kommenden In- 
terrupts, erhalt der erste Programmkomplex Kenntnis 
von diesem feindlichen Verhalten des zweiten Pro- 
grammkomplexes, indem er den Zustand auf der Inhibit- 
leitung abfragt. Sollte er dabei Manipulationen an der 
Inhibitieitung erkennen, hat er die Moglichkeit, in ge- 
ordneter Weise das gesamte System, zu dem die Sy- 
stemarchitektur gehort, stillzusetzen. 

Selbstverstandlich wird die neue Systemarchitektur 
mit weiteren Sicherungsmitteln verknupft, um die Si- 
cherheit so hoch wie moglich zu machen. Insoweit ist die 
beschriebene Systemarchitektur lediglich ein Ausschnitt 
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aus einem gesamten ais sicher angesehenen System, 
dessen Sicherheit durch wechseiweises Abfragen und 
iiberprufen von Machbarkanaien und deren Daten in 
der bekannten Weise sichergestellt wird. 

Je nach Anwendung kann es sein, daB die ersten Peri- 
pheriemittel ausschlieBlich fur den ersten Programm- 
komplex reserviert sind oder daB unter den ersten Peri- 
pheriemitteln wenigstens eines 1st, auf das zulassiger- 
weise von beiden Programmkomplexen aus schreibend 
und/oder iesend zuzugreifen ist 

Je nachdem, wie die beiden Prograrnmkomplexe zu- 
einander stehen soilen, kann es zweckmaBig sein, einen 
Speicherbereich zu haben, uber den die beiden Pro- 
grarnmkomplexe miteinander kommunizieren, da sie 
nur nacheinander den Prozessor haben, also folglich 
auch nicht gleichzeitig arbeiten konnen. Sie brauchen 
deswegen einen gemeinsamen "Briefkasten" iiber den 
sie Nachrichtenoder Daten austauschen konnen. 

Dieser Kommunikation der Prograrnmkomplexe die- 
nende Speicher ist vorzugsweise in den zweiten Spei- 
chermitteln untergebracht, denn dadurch wird zwangs- 
laufig-sichergestellt, daB die Daten und Befehle des er- 
sten Programmkomplexes, die sich in den ersten Spei- 
chermitteJn befinden, nicht durch ein Fehlverhalten des 
zweiten Programmkomplexes geandert werden konnen. 

Ein besonders sicheres System wird erhalten, wenn 
die ersten Speichermittel ausschlieBlich fur den ersten 
Programmkomplex reserviert sind. Gleiches kann 
grundsatzlich auch fur den zweiten Programmkomplex 
bestehen, so daB ein weiterer Speicherbereich als Kom- 
munikationsbereich fur die Prograrnmkomplexe bereit- 
gesteilt wird. 

Wenn durch andere MaBnahmen bestimmte Fehler 
erkannt werden konnen, ist es mogiich, die beiden Spei- 
chermittel hardwaremaBig in ein und demselben Spei- 
cher unterzubringen und lediglich uber Adressen von- 
einander zu trennen. Wenn hingegen auch mit Fehlern 
bei der Adressierung des Speichers zu rechnen ist oder 
sonstige Fehler an den Speichern zu befurchten sind, ist 
es vorteilhaft, wenn fur die ersten und die zweiten Spei- 
chermittel hardwaremaBig getrennte Speicher verwen- 
det werden, d. h. die ersten und die zweiten Speichermit- 
tel werden in getrennten Speicherchips untergebrachL 

In alier Regel hat der erste Programmkomplex die 
hohere Prioritat, d. h. er muB selbst bei nichtkonformem 
Verhaiten des zweiten Programmkomplexes innerhalb 
einer vorgegebenen Zeit den Prozessor zuruckerhaiten, 
um seine Steuerfunktion ausfiihren zu konnen. Dies 
kann unter Umstanden dann nicht der Fall sein, wenn 
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laufende Programmkomplex aus der Sicht seiner ihm 
zugeordneten Peripheriemittel dasselbe Verhaiten zei- 
gen wie der erste Programmkomplex aus der Sicht sei- 
ner Peripheriemittel, wahrend jedoch beide Programm- 
codes unterschiedlich gestaltet sind. Diese unterschiedli- 
che Gestaitung der Programmcodes wird zwangslaufig 
erreicht, wenn der erste und der zweite Prozessor unter- 
schiedlich sind, beispielsweise in der Registerlange oder 
der zur Verfiigung stehenden Befehle. 

SchiieBlich kann der weitere Prozessor mit dazu her- 
angezogen werden, zu iiberprufen, ob, wahrend der er- 
ste Programmkomplex den Prozessor nicht hatte, der 
zweite Programmkomplex in unzulassiger Weise nach 
einer Veranderung der Signale an den Inhibiteingangen 
die Daten an den Peripheriemitteln verandert hat. Nach 
Riickkehr des ersten Programmkomplexes ist dieser in 
der Lage, von den Peripheriemitteln die Daten zu lesen 
und mit den Daten zu vergleichen, die der dritte Pro- 
grammkomplex von seinen Peripheriemitteln erhalten 
20 hat. Sobald dort ein Unterschied auftritt, ist das System 
wiederum in der Lage, die gesteuerte Maschine stillzu- 
setzen. 

Im ubrigen sind Weiterbildungen der Erfindung Ge- 
genstand von Unteranspruchen. Ferner ist ohne weite- 
res zu sehen, daB beliebige Kombinationen der Unter- 
anspruche mogiich sind. Der Aufbau der ubrigen Sy- 
stemumgebung spieit dabei fur die neue Systemarchi- 
tektur keine oder keine wesentliche Rolle. 

In der Zeichnung ist ein Ausfiihrungsbeispiel des Ge- 
genstandes der Erfindung dargestellL Es zeigen: 

Fig. 1 ein Blockschakbiid der neuen Systemarchitek- 
tur und 

Fig. 2 stark schematisiert das zeitliche Verhaiten der 
beiden Prograrnmkomplexe, die auf dem ersten Prozes- 
sor laufen. 

In Fig. 1 ist in einem Blockschakbiid eine neue Sy- 
stemarchitektur 1 fur eine ProzeBsteuerung veran- 
schauiicht (der gesteuerte ProzeB selbst ist nicht gezeigt 
und kann eine Werkzeugmaschine, ein chemischer Pro- 
40 zeB oder dergleichen sein). Diese Systemarchitektur I 
weist einen ersten Prozessor 2 sowie einen zweiten Pro- 
zessor 3 auf, die Uber FCommunikationsieitungen 4 mit- 
einander verbunden sind An den Prozessor 2 sind zwei 
voneinander getrennte Speicher 4 und 5 ebenfalls uber 
fCommunikationsieitungen 6 und 7 angeschlossen. Diese 
beiden Speicher 4 und 5 sind in physikalisch voneinan- 
der getrennten Speicherbausteinen hardwaremaBig 
realisiert. 

Wenigstens der erste Prozessor 2 weist eine Inter- 
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sich der zweite Programmkomplex in einer endlosen 50 ruptsteuerung mit einem entsprechenden zugeordneten 



Schleife aufhangt und nicht mehr jene Programmstelle 
erreicht, an der er freiwillig den Prozessor zuruckgibt. 
Um solche Fehler auszuschlieBen, ist der Prozessor vor- 
zugsweise mit einer Interruptsteuerung versehen, an die 
ein Timer angeschlossen ist. Dadurch kann der Prozes- 
sor zwangsweise den zweiten Programmkomplex besei- 
tigen, damit der erste Programmkomplex wiederum in 
den Besitz des Prozessors gelangt. 

Die Sicherheit des Gesamtsystems laBt sich erhdhen, 
wenn parallel zu dem ersten Prozessor wenigstens ein 
weiterer Prozessor existiert, in dem ein dem ersten Pro- 
grammkomplex verwandtes Programm lauft, so- daB 
beide Prozessoren bzw. Prograrnmkomplexe standig ih- 
re Daten und Rechenergebnisse miteinander verglei- 
chen konnen, um bei Differenz der Ergebnisse die ge- 
steuerte Anlage in einer sinnvollen ungefahrlichen Wei- 
se stillsetzen zu konnen. 

Beispielsweise kann der auf dem zweiten Prozessor 



Eingang 8 auf, an den eine Uhr oder ein Timer 9 ange- 
schlossen ist. 

Je nach gewahlter Prozessorarchitektur kann der Ti- 
mer 9 auch Bestandteil des Prozessors 2 selbst sein. 

Ober ein Bussystem oder entsprechende Kommuni- 
kationsleitungen 11 sind an den ersten Prozessor 2 zwei 
Gruppen 12 und 13 von Peripheriemitteln angeschlos- 
sen. 

Unter Peripheriemitteln soilen hierbei jene Hardwa- 
re- Einrichtungen verstanden sein, wie sie bei ProzeB- 
oder Maschinensteuerungen zur Steuerung des Prozes- 
ses verwendet werden. Dabei wird zwischen solchen 
Peripheriemitteln unterschieden, die lediglich Informa- 
tionen des Prozesses, der zu steuern ist, an die Steue- 
65 rung melden als auch jene Peripheriemittel. die Befehle 
der Steuerung in Zustandsanderungen des Prozesses 
umsetzen, beispielsweise indem sie Relais, Magnetvenri- 
le, elektromechanische Verriegelungen u. dgl. betatigen. 
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Ais Beispiel fur ein lediglich an die Steuerung Infor- 
mationen ubermittelndes Peripheriemittel ist ein Peri- 
pheriemittel 12a gezeigt, das beispielsweise Tempera- 
tur- oder Positionsangaben an die Steuerung ubergibt. 
Der von dem Block umrahmte Teil soil in diesem Falle 
die gesamte notwendige Hardware symbolisieren, die 
notwendig ist, um das physikalische Signal in die elektri- 
sche GroBe umzuwandein, die mit der Schnittstelle, wie 
sie durch die Kommunikationsleitungen 11 und den ent- 
sprechenden EingangsanschluB des ersten Prozessors 2 
gebildet ist, kompatibel sind. Der vom Grundsatz her 
lesende Zugriff auf das Peripheriemittel 12a bedeutet 
aber nicht, daB auch schreibende Zugriffe moglich sind, 
die innerhalb des Peripheriemittels 12a Zustandsande- 
rungen hervorrufen. Ein zweites Peripheriemittel 12b 
soli alle jene Peripheriemittel symbolisieren, die von 
dem ersten Prozessor 2 uber die Kommunikationslei- 
tungen 11 gelieferten Informationen oder Befehle in ei- 
ne physikalische GroBe umsetzt. Uber die Schnittstel- 
lenmittel 12b wird also in den ablaufenden und zu steu- 
ernden ProzeB unmittelbar eingegriffen, beispielsweise 
durch Betatigung eines schematisch angedeuteten elek- 
tromagnetischen Ventils 14. Andere elektromechani- 
sche Wandler, wie Gleich- oder Wechselstrommotoren, 
Heizeinrichtungen, Ziindeinrichtungen u. dgl. konnen 
ebenfalls Bestandteil des betreffenden Peripheriemittels 
12b sein. 

Die zwischen den beiden Peripheriemitteln 12a und 
12b gezeichnete gestrichelte Linie 15 soil andeuten, dafl 
eine weit grdBere Anzahl von Peripheriemitteln vor- 
handen sein kann, und in der Regel auch vorhanden ist, 
ais nur die beiden Peripheriemittel 12a und 12b. 

Die beiden Peripheriemittel 12a und 12b sind zusatz- 
lich zu den Kommunikationsleitungen 11 jeweils mit 
einem Inhibiteingang 16a bzw. 16b versehen, der an eine 
gemeinsame Inhibitleitung 17 angeschlossen ist, die die 
Inhibiteingange 16a und 16b mit einem entsprechenden 
E/A-Port 18 des ersten Prozessors 2 verbindet. 

Die zweite Gruppe von Peripheriemitteln ist ahnlich 
zusammengesetzt wie die erste Gruppe 12, d. h. auch sie 
besteht aus Peripheriemitteln, die Informationen zu 
dem ersten Prozessor 2 liefern ais auch aus Peripherie- 
mitteln, die Befehle des ersten Prozessors 2 in entspre- 
chende physikalische oder elektrische GroBen umset- 
zen. Diese Peripheriemittel 13a bis 13b der zweiten 
Gruppe 13 sind ausgangsseitig in Richtung auf den zu 
steuernden ProzeB von den Peripheriemitteln 12a bis 
12b unterschiedlich. 

Der zweite Prozessor 3 dient der Erhohung der Re- 
dundanz, weshalb er sich von dem ersten Prozessor 2 
hardwaremaBig unterscheidet, d. h. er hat beispielsweise 
einen anderen Befehlssatz und/oder eine andere Regi- 
sterlange. Ferner ist er in einem eigenen Chip realisiert 
oder sogar auf einer eigenen Leiterplatte angeordnet. 
Der zweite Prozessor 3 ist uber Kommunikationsleitun- 
gen 19 mit einem ihm zugeordneten Speicher 20 ver- 
bunden und uber weitere Kommunikationsleitungen 22 
mit einem eigenen Satz von Peripheriemitteln 23, die 
aus der Sicht des zu steuernden Prozesses dieselbe 
Funktion haben wie die Peripheriemittel 12a bis 12b der 
ersten Gruppe 12 und die gegebenenfalls, soweit es die 
Ausfuhrung von Befehlen anbelangt, ausgangsseitig 
zum ProzeB hin UND-verkniipft sind, damit Zustands- 
anderungen in dem ProzeB oder der Maschine erst 
durchgefuhrt werden, wenn die beiden Prozessoren 2 
und 3 uber die betreffenden Peripheriemittel 12 bzw. 23 
dieselben Ausgangsbefehle geben. 

Mit der neuen Systemarchitektur 1 ist es moglich, 



zwei unterschiedliche Programmkomplexe abiaufen zu 
lassen, wobei der eine Programmkomplex ein verifizier- 
ter und sicherheitsuberprufter Programmkomplex ist, 
wahrend der andere zweite Programmkomplex ein Pro- 
5 grammkomplex ist, an den weniger hohe Sicherheitsan- 
forderungen gestellt werden. Der sichere Programm- 
komplex hat ein Pendant in dem Prozessor 3 und ist dort 
mit einem entsprechenden Programm realisiert, das aus- 
schlieBlich in dem Speicher 21 abgelegt ist und dessen 

io Daten sich ebenfalls nur in dem Speicher 21 befinden, 
soweit sie nicht von den Peripheriemitteln 23 kommen 
bzw. dort gehahen werden. 

In dem ersten Prozessor 2 lauft der verifizierte und 
fur die Sicherheit des gesteuerten Prozesses reievante 

is Programmkomplex, im weiteren erster Programmkom- 
plex genannt, ab sowie ein zweiter Programmkomplex, 
der fiir die Sicherheit des gesteuerten Prozesses nicht 
ausschlaggebend ist. Der erste Programmkomplex wird 
durch ein Programm oder einen Satz von Programmen 

20 realisiert, der in dem Speicher 4 abgelegt ist. Der zweite 
Programmkomplex, ebenfalls ein Programm oder ein 
Satz von Programmen, findet sich in dem Speicher 5. 

Der erste Programmkomplex ist, weil er sicherheits- 
uberprtift ist, befugt und dazu vorgesehen, die Periphe- 

25 riemittel der zweiten Gruppe 12 anzusprechen und uber 
sie Befehle auszugeben, die aktiv in den gesteuerten 
ProzeB bzw. die Maschine eingreifen und dort Zu- 
standsanderungen vornehmen. Ein Beispiel fur ein sol- 
ches Peripheriemittel ist das exemplarisch angegebene 

30 Peripheriemittel 12b. 

AuBerdem greift der erste Programmkomplex auch 
auf die Peripheriemittel 12 zu, die Informationen aus 
dem ProzeB an den Programmkomplex ubertragen; bei- 
spielsweise uber das Peripheriemittel 12a. 

35 Fur die weitere Beschreibung sei zunachst einmal an- 
genommen, daB der zweite Programmkomplex aus- 
schlieBlich mit den Peripheriemitteln der zweiten Grup- 
pe 13 zusammenarbeitet, also weder Daten von der er- 
sten Gruppe 12 erhalt noch auf diese Peripheriemittel 

40 der ersten Gruppe 12 schreibend zugreift. Diese Annan- 
me gilt fur ein fehlerfreies Konzept fiir den zweiten 
Programmkomplex und unter der Bedingung, daB das 
fehlerfreie Konzept auch fehlerfrei in die entsprechen- 
den Programme eingesetzt ist. 

45 Fur die weitere Funktions- und Ablaufbeschreibung 
sei ferner angenommen, daB die Initialisierungsphase 
fiir die Programmkomplexe bereits durchlaufen ist und 
sich das System im Normalbetrieb befindet. Unter die- 
sen Umstanden wechseln sich in dem ersten Prozessor 2 

50 der erste und der zweite Programmkomplex periodisch 
ab. Das Verhalten wird in einem Zeitpunkt beobachtet, 
zu dem, wie in dem oberen Balken mit der Bezeichnung 
"Prog. I" angegeben, der erste Programmkomplex aktiv 
ist, d. h. Daten von dem zu steuernden ProzeB erhalt und 

55 entsprechende Befehle, wenn erforderlich, an den Pro- 
zeB abgibt. Gleichzeitig vergleicht wahrend dieser Pha- 
se der erste Programmkomplex standig seine gemesse- 
nen und berechneten Daten mit den entsprechenden 
Daten, die der auf dem zweiten Prozessor 3 laufende 

6o Programmkomplex von seiner Peripherie erhalt bzw. 
aus den erhaltenen Daten berechnet Solange dieser 
Vergleich Identitat zeigt, arbeitet das System weiter. 
Stellen die beiden Prozessoren 2 und 3 jedoch Abwei- 
chungen fest, wird umgehend entsprechend vorher fest- 

65 gelegter Routinen, der gesamte ProzeB stillgesetzt. 

Wenn dies nicht der Fall ist, d. h. der Datenvergleich 
cier beiden Prozessoren 2 und 3 keinen Fehler erkennen 
laBt, kommt der erste Programmkomplex innerhalb ei- 
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ner maximalen Zeitgrenze an eine Steile, an der er den 
Prozessor 2 nicht mehr bendtigt. Beim Erreichen dieser 
Steile werden zunachst von dem ersten Programmkom- 
plex Qber den entsprechenden Ausgang 18 die Inhibit- 
eingange t6a und 16b der Peripheriemittel der ersten 
Gruppe 12 mit einem Sperrsignai beaufschlagL Dadurch 
gelangen die Peripheriemittel der ersten Gruppe 12 in 
einen Zustand, in dem sie Qber die Kommunikationslei- 
tungen 11 eventuell ankommende schreibende Signale, 
die ihren Zustand verandern wiirden, ignorieren. Ein 
lesender Zugriff in dem Sinne, daB von den Peripherie- 
mitteln bzw. den zugehorigen Interfacekarten Qber die 
Kommunikationsleitungen 11 Daten abgefragt werden, 
bleibt jedoch nach wie vor moglich. 

Nachdem der erste Programmkompiex dieses Inhibit- 15 
signal an seine ihm zugeordneten Peripheriemittel 12 
abgesandt hat, gibt er den ersten Prozessor 2 frei. Die 
Freigabe des ersten Prozessors 2 durch den ersten Pro- 
grammkompiex hat zur Folge, daB nun der zweite Pro- 
grammkompiex, der in dem Speicher 5 abgeiegt ist, den 20 
ersten Prozessor 2 erhalt und somit die Moglichkeit 
bekommt, die dem zweiten Programmkompiex zuge- 
ordneten Peripheriemittel 13 zu bedienen. Unterstellt, 
der zweite Programmkompiex arbeitet fehlerfrei, dann 
greift er nicht schreibend, also zustandsandernd, auf die 25 
Peripheriemittel 12 zu, die fur den ersten Programm- 
kompiex reserviert sind. Sollte er dies aufgrund eines 
Programmierfehiers oder eines sonstigen Fehlers doch 
tun bzw. versuchen, hat der schreibende Zugriff keine 
Wirkung, denn uber die Inhibiteingange 16a und 16b 30 
sind die Peripheriemittel 12 gegen schreibende Zugriffe 
gesperrt. 

Vor dem Ablauf einer vorbestimmten Zeit erreicht 
der zweite Programmkompiex eine Programmstelle, an 
der er freiwillig den ersten Prozessor 2 abgibt. Der erste 35 
Prozessor 2 kann daraufhin wiederum den ersten Pro- 
grammkompiex starten. Dieser erste Programmkom- 
piex pruft zunachst, ob die Peripheriemittel 12 nach wie 
vor das Inhibitsignal haben. Sodann wird das Inhibitsi- 
gnal geloscht damit der erste Programmkompiex wie- 40 
der normal mit seinen Peripheriemitteln 12 kommuni- 
zieren kann. Als nachstes erfolgt ein Datenvergleich 
zwischen dem ersten Programmkompiex des ersten 
Prozessors 2 mit dem auf dem zweiten Prozessor 3 lau- 
fenden Programmkompiex und, falls dieser Vergleich 45 
keine Differenzen aufgezeigt hat, lauft der erste Pro- 
grammkompiex auf dem ersten Prozessor 2 normal ab. 

Soilte hingegen bei der Reinitialisierung des ersten 
Programmkomplexes dieser feststellen, daB das Inhibit- 
signal nicht mehr vorhanden ist, geht der erste Pro- 
grammkompiex davon aus, daB sich der zweite Pro- 
grammkompiex nicht konform verhalten hat und in un- 
zulassiger Weise versucht hat, steuerbefehle Qber die 
entsprechenden Peripheriemittel 12 auszugeben. Da 
dies eine gefahrliche Fehlersituation ist, wird anschiie- 
Bend umgehend der gesteuerte ProzeB stillgesetzt. 

Ein weiterer Fehler des zweiten Programmkomple- 
xes kann darin bestehen, daB er das Inhibitsignal loscht 
und anschlieBend wieder setzt, urn zwischenzeitiich 
schreibend auf die Peripheriemittel 12 zugreifen zu kon- 
nen. Ein soiches Fehlverhalten wird durch den Vergleich 
der Daten des ersten Programmkomplexes mit den Da- 
ten, die der Programmkompiex auf dem zweiten Prozes- 
sor 3 halt, ermittelt Somit ist mit einer sehr none Sicher- 
heit gewahrleistet, daB der zweite Programmkompiex, 55 
der keiner sicherungstechnischen Prufung unteriiegt. 
nicht wegen Konzept- oder sonstiger Fehler, den sicher- 
heitstechnisch uberpruften ersten Programmkompiex 
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stort. Dennoch konnen die beiden Programmkomplexe 
auf ein und demselben Prozessor ablaufen, und sich ge- 
gebenenfalls sogar jene Peripheriemittel teiien, Qber die 
lediglich Daten in Richtung auf den betreffenden Pro- 
5 zessor ubermittelt werden. Der Anwender, der den 
zweiten Programmkompiex erstellt, kann sich kompli- 
zierte Fehlerbetrachtungen und Fehlerbehandlungsrou- 
tinen ersparen, wenn er alle sicherheitsrelevanten Be- 
fehlsablaufe in dem ersten Programmkompiex unter- 
bringt und nur fur diesen Programmkompiex braucht er 
dann eine komplizierte Fehierbetrachtung anzustellen. 
Nachtragliche Anderungen am zweiten Programmkom- 
piex sind ohne weiteres moglich, womit sich die Pro- 
grammierung der neuen Systemarchitektur wesentlich 
vereinfacht. Insbesondere genugt es, wenn von der auf- 
sichtsfuhrenden Behorde immer nur die Hardware ein- 
schlieBIich dem ersten Programmkompiex gepruft und 
abgenommen wird. Ohne diese Zweiteiiung ware der 
Anwender gezwungen, bei jeder kleineren Anderung 
auch an nicht sicherheitsrelevanten Befehlsfolgen eine 
neue Oberprufung durch die aufsichtsfuhrende Behorde 
vornehmen lassen zu mussen. 

In der eben beschriebenen Weise losen sich der erste 
und der zweite Programmkompiex auf dem ersten Pro- 
zessor 2 standig ab. Sie erhalten dabei nach einem Zeit- 
scheibenverfahren den ersten Prozessor und geben inn, 
Fehlerfreiheit vorausgesetzt, auch innerhaib der Zeit- 
scheibe freiwillig wieder ab. Falls jedoch einer der bei- 
den Programmkomplexe in eine endlose Schleife gerat, 
lauft vor der Ruckgabe des Prozessors 2 der Timer 9 ab, 
der daraufhin an dem Interrupteingang 8 einen Inter- 
rupt produziert, was den Prozessor veranlaBt, in eine 
Alarmroutine uberzugehen, die den jeweils laufenden 
Programmkompiex abbricht und je nach dem, ob der 
Fehler in dem sicherheitsrelevanten Teil oder in dem 
nicht sicherheitsrelevanten Teil entstanden ist, entweder 
lediglich eine Fehlermeldung herausgibt oder das Sy- 
stem nebengeordnet stillsetzt. 

SchlieBlich ist es moglich, die beiden Programmkom- 
plexe uber einen gemeinsamen Speicherbereich 25 mit- 
einander kommunizieren zu lassen, beispielsweise wenn 
der nicht sichere zweite Programmkompiex Daten be- 
ndtigt, die der erste sichere Programmkompiex berech- 
net hat. Urn eine Gefahrdung des ersten programmkom- 
plexes auszuschlieBen, ist deswegen der Kommunika- 
tionsbereich in den Speicher 5 verlegt, in dem sich der 
zweite Programmkompiex befindet und wo er auch sei- 
ne Daten halt. Fehlerhafte schreibende Zugriffe in die- 
sen der ECommunikation dienenden Speicherbereich 25 
50 konnen somit ebenfalls nicht den verifizierten Pro- 
grammkompiex beeintrachtigen. 

Eine Systemarchitektur verwendet wenigstens zwei 
Prozessoren, die gemeinsam einen ProzeB steuem und 
standig ihre Daten miteinander vergleichen. Auf einem 
55 der beiden Prozessoren lauft ein Programmkompiex, 
der hinsichtlich der moglichen Fehler uberpruft ist so- 
wie ein nicht uberprufter Programmkompiex. Urn eine 
Storung des uberpruften Programmkomplexes durch 
den nicht uberpruften auszuschlieBen, sind die Periphe- 
60 riemittel, die mit dem uberpruften Programmkompiex 
zusammenarbeiten, mit Inhibiteingangen versehen und 
der geprufte Programmkompiex sperrt uber die Inhibit- 
eingange die fur inn reservierten Peripheriemittel, ehe 
er die Regie an den nicht uberpruften Programmkom- 
piex abgibt. 
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Patentanspriiche 

1 . Systemarchitektur (1) 

mit einem ersten Prozessor (2), 

mit dem ersten Prozessor (2) zugeordneten ersten 5 
Speichermitteln (4), 

mit ersten dem ersten Prozessor (2) zugeordneten 
Peripheriemitteln (12), wie Interfaceschaltungen 
und dgl., die Ein/Ausgange und mit dem ersten Pro- 
zessor (2) verbundene Inhibiteingange (16) aufwei- 10 
sen, wobei letztere dazu dienen, die ersten Periphe- 
riemittel (12) dagegen zu sperren, Informationen 
uber die Eingange entgegenzunehmen, wenn an die 
Inhibiteingange (16) ein Inhibitsignal ubermittelt 
wurde, 15 
mit einem auf dem ersten Prozessor (2) lauffahigen 
ersten Programmkomplex (Prog. I), 

— der hinsichtlich seiner Fehlerfreiheit verifi- 
ziert ist, 

— der zumindest uberwiegend mit den ersten 20 
Speichermitteln (4) des ersten Prozessors (2) 
zusammenwirkt und 

— derart arbeitet, daB er, wenn er auf dem 
ersten Prozessor (2) Iauft, beim Erreichen fest- 
gelegter Bedingungen an die ihm zugeordne- 25 
ten Peripheriemittel (12) ein Inhibitsignal ab- 
gibt und den ersten Prozessor (2) freigibt, und 
daB er sobald er den ersten Prozessor (2) zu- 
ruckerhalt das Inhibitsignal zuriicknimmt oder 
loscht, 30 

mit dem ersten Prozessor (2) zugeordneten zweiten 
Speichermitteln (5), 

mit zweiten dem ersten Prozessor (2) zugeordneten 
Peripheriemitteln (13), wie Interfaceschaltungen 
und dgl., die mit dem ersten Prozessor (2) verbun- 35 
dene Ein/Ausgange aufweisen, 
mit einem auf dem ersten Prozessor (2) lauffahigen 
zweiten Programmkomplex (Prog. II), 

— an den hinsichtlich seiner Fehlerfreiheit ge- 
ringere Anforderungen als an den ersten Pro- 40 
grammkomplex (Prog. I) gestellt werden, 

— der zumindest uberwiegend mit den zwei- 
ten Speichermitteln des ersten Prozessors (2) 
zusammenwirkt, 

— bei fehierfreiem Lauf auf die Ein/Ausgange 45 
der dem ersten Programmkomplex (Prog. I) 
zugeordneten Peripheriemittel (12) wenn 
uberhaupt dann lediglich iesend zugreift und 

— beim Erreichen festgelegter Bedingungen 
den ersten Prozessor (2) freigibt. 50 

2. Systemarchitektur nach Anspruch 1, dadurch ge- 
kennzeichnet, daB unter den ersten Peripheriemit- 
teln (12) wenigstens eines ist, das fiir den ersten 
Programmkomplex (Prog. I) reserviert ist. 

3. Systemarchitektur nach Anspruch 1, dadurch ge- 55 
kennzeichnet, daB es unter den der ersten Periphe- 
riemitteln (12) wenigstens eines gibt, auf das zulas- 
sigerweise sowohl von dem ersten Programmkom- 
plex (Prog. I) als auch von dem zweiten Programm- 
komplex (Prog. II) schreibend und/oder lesend zu- so 
zugreifen ist. 

4. Systemarchitektur nach Anspruch 1, dadurch ge- 
kennzeichnet, daB es einen Speicherbereich (25) 
gibt, uber den der erste und der zweite Programm- 
komplex (Prog. I, Prog. II) miteinander kommuni- a5 
zieren. 

5. Systemarchitektur nach Anspruch 4, dadurch ge- 
kennzeichnet, daB der Speicherbereich (25), uber 
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den der erste und der zweite Programmkomplex 
(Prog. I, Prog. II) miteinander kommunizieren in 
dem ersten und/oder dem zweiten Speichermittel 
(4, 5) oder in nur einem der beiden Speichermittel 
(4,5) liegt. 

6. Systemarchitektur nach Anspruch 1, dadurch ge- 
kennzeichnet, daB die ersten Speichermittel (4) fiir 
den ersten Programmkomplex (Prog. I) reserviert 
sind. 

7. Systemarchitektur nach Anspruch 1, dadurch ge- 
kennzeichnet, daB die ersten und die zweiten Spei- 
chermittel (4, 5) hardwaremaBig in einem gemein- 
samen Speicher verwirklicht sind und daB eine er- 
ste Gruppe von Speicheradressen die ersten Spei- 
chermittel (4) und eine zweite Gruppe von Adres- 
sen die zweiten Speichermittel (5) bildet. 

8. Systemarchitektur nach Anspruch 1, dadurch ge- 
kennzeichnet, daB die ersten und die zweiten Spei- 
chermittel (4, 5) hardwaremaBig in getrennten Spei- 
chern verwirklicht sind. 

9. Systemarchitektur nach Anspruch 1, dadurch ge- 
kennzeichnet, daB der erste Programmkomplex 
(Prog. I), wenn er den ersten Prozessor (2) zuriick- 
erhalt, uberpruft, ob das Inhibitsignal noch vorhan- 
den ist bzw. zwischenzeitlich nicht zuruckgenom- 
men wurde, ehe er es selbst loscht bzw. zuruck- 
nimmt. 

10. Systemarchitektur nach Anspruch 1, dadurch 
gekennzeichnet, daB der erste Programmkomplex 
(Prog. I) ein Programmkomplex ist, der Sicherheits- 
funktion hat. 

11. Systemarchitektur nach Anspruch 1, dadurch 
gekennzeichnet, daB der erste Prozessor (2) eine 
Interruptsteuerung (8) aufweist, an die ein Timer (9) 
angeschlossen ist, und daB eine Bedingung, die dazu 
fiihrt, daB der erste Programmkomplex (Prog. I) 
den ersten Prozessor (2) zuruckerhalt ein von dem 
Timer (9) ausgeloster Interrupt ist. 

12. Systemarchitektur nach Anspruch 1, dadurch 
gekennzeichnet, daB die Bedingung zur Freigabe 
des ersten Prozessors (2) durch den betreffenden 
Programmkomplex (Prog. I, Prog. II) eine entspre- 
chende Programmanweisung in dem betreffenden 
Programmkomplex (Prog. I, Prog. II) ist. 

13. Systemarchitektur nach Anspruch 1, dadurch 
gekennzeichnet, daB die Befehle die den ersten 
Programmkomplex bilden (Prog. I) und/oder Daten 
die ausschlieBlich dem ersten Programmkomplex 
(Prog. I) zugeordnet sind in dem ersten Speicher- 
mittel (4) abgelegt sind. 

14. Systemarchitektur nach Anspruch 1, dadurch 
gekennzeichnet, daB die Befehle die den zweiten 
Programmkomplex (Prog. II) bilden und/oder Da- 
ten die ausschlieBlich dem zweiten Programmkom- 
plex (Prog. II) zugeordnet sind in dem zweiten Spei- 
chermittel (5) abgelegt sind. 

15. Systemarchitektur nach Anspruch 1, dadurch 
gekennzeichnet, daB sie 

einen zweiten Prozessor (3), 

dem zweiten Prozessor (3) zugeordnete dritte Spei- 
chermittel (21), 

dem zweiten Prozessor (3) zugeordnete dritte Peri- 
pheriemittel (23), wie Interfaceschaltungen und dgl., 
die mit dem zweiten Prozessor (3) verbundene Ein/ 
Ausgange aufweisen, und 

einen auf dem zweiten Prozessor (3) laufenden drit- 
ten Programmkomplex aufweist, der mit den drit- 
ten Speichermittel (21) zusammenwirkt und mit 
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den dritten Peripheriemitteln (3) kommuniziert. 

16. Systemarchitektur nach Anspruch 15, dadurch 
gekennzeichnet, daB der erste und der zweite Pro- 
zessor (2, 3) unterschiedlich voneinander sind. 

17. Systemarchitektur nach Anspruch 15, dadurch 5 
gekennzeichnet, daB der dritte Programrnkomplex 
sich aus der Sicht der dritten Peripheriemittel (23) 
Qberwiegend oder exakt genauso verhalt, wie der 
erste Programrnkomplex (Prog. I) aus der Sicht sei- 
ner Peripheriemittel (12), soweit sie funktionsmaBig 10 
mit den dritten Peripheriemitteln (23) ubereinstim- 
men. 

18. Systemarchitektur nach Anspruch 15, dadurch 
gekennzeichnet, daB der erste (Prog.I) und der drit- 
te Programrnkomplex, abgesehen von einer even- 15 
tueilen Kommuhikation mit dem zweiten Pro- 

J grammkompiex (Prog.II) dieselbe Funktion erbrin- 
gen sollen. 

19. Systemarchitektur nach Anspruch 15, dadurch 
gekennzeichnet, daB der erste (Prog.I) und der drit- 20 
te Programrnkomplex zumindest zeitweise mitein- 
ander kommunizieren. 

20. Systemarchitektur nach Anspruch 15, dadurch 
gekennzeichnet, daB die Kommunikation den Ver- 
gleich von von jedem der beiden Programmkom- 25 
plexe berechneten Daten sowie von Daten umfaBt, 
die von den zugehorigen Peripheriemitteln (12, 23) 
geiiefert werden oder wurde. 

21. Systemarchitektur nach Anspruch 15, dadurch 
gekennzeichnet, daB noch weitere Prozessoren und 30 
Programmkomplexe vorzugsweise wenigstens ein 
weiterer Prozessor vorhanden ist 

22. Systemarchitektur nach einem oder mehreren 
vorausgehenden Ansprlichen, dadurch gekenn- 
zeichnet, daB sie in einer Maschinensteuerung im- 35 
plementiert ist 
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